Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Pode utilizar Link Privado do Azure com o Azure Virtual Desktop para ligar em privado aos seus recursos remotos. Ao criar um ponto final privado, o tráfego entre a rede virtual e o serviço permanece na rede da Microsoft, pelo que já não precisa de expor o seu serviço à Internet pública. Também pode utilizar uma VPN ou ExpressRoute para os seus utilizadores com o cliente de Ambiente de Trabalho Remoto se ligarem à rede virtual. Manter o tráfego dentro da rede da Microsoft melhora a segurança e mantém os seus dados seguros. Este artigo descreve como Link Privado pode ajudá-lo a proteger o seu ambiente Azure Virtual Desktop.
Como funciona Link Privado com o Azure Virtual Desktop?
Azure Virtual Desktop tem três fluxos de trabalho com três tipos de recursos correspondentes a utilizar com pontos finais privados. Estes fluxos de trabalho são:
Deteção inicial do feed: permite ao cliente detetar todas as áreas de trabalho atribuídas a um utilizador. Para ativar este processo, tem de criar um único ponto final privado para o sub-recurso global para qualquer área de trabalho. No entanto, só pode criar um ponto final privado em toda a implementação do Azure Virtual Desktop. Este ponto final cria entradas do Sistema de Nomes de Domínio (DNS) e rotas de IP privadas para o nome de domínio completamente qualificado global (FQDN) necessário para a deteção inicial do feed. Esta ligação torna-se uma rota única e partilhada para todos os clientes utilizarem.
Transferência do feed: o cliente transfere todos os detalhes de ligação de um utilizador específico para as áreas de trabalho que alojam os respetivos grupos de aplicações. Crie um ponto final privado para o sub-recurso do feed para cada área de trabalho que pretende utilizar com Link Privado.
Ligações a conjuntos de anfitriões: cada ligação a um conjunto de anfitriões tem dois lados: clientes e anfitriões de sessão. Tem de criar um ponto final privado para o sub-recurso de ligação para cada conjunto de anfitriões que pretende utilizar com Link Privado.
O seguinte diagrama de alto nível mostra como Link Privado liga um cliente local de forma segura ao serviço Azure Virtual Desktop. Para obter informações mais detalhadas sobre as ligações de cliente, veja Sequência de ligação de cliente.
Cenários com suporte
Ao adicionar Link Privado com o Azure Virtual Desktop, tem os seguintes cenários suportados para ligar ao Azure Virtual Desktop. O cenário que escolher depende dos seus requisitos. Pode partilhar estes pontos finais privados na sua topologia de rede ou isolar as suas redes virtuais para que cada um tenha o seu próprio ponto final privado no conjunto de anfitriões ou área de trabalho.
Todas as partes da ligação – deteção inicial do feed, transferência de feeds e ligações de sessão remota para clientes e anfitriões de sessão – utilizam rotas privadas. Precisa dos seguintes pontos finais privados:
Objetivo Tipo de recurso Sub-recurso de destino Quantidade de pontos finais Ligações a conjuntos de anfitriões Microsoft.DesktopVirtualization/hostpools ligação Um por conjunto de anfitriões Transferência do feed Microsoft.DesktopVirtualization/workspaces feed Um por área de trabalho Deteção inicial do feed Microsoft.DesktopVirtualization/workspaces global Apenas uma para todas as implementações do Azure Virtual Desktop As ligações de transferência de feeds e de sessão remota para clientes e anfitriões de sessões utilizam rotas privadas, mas a deteção inicial do feed utiliza rotas públicas. Precisa dos seguintes pontos finais privados. Não é necessário o ponto final para a deteção inicial do feed.
Objetivo Tipo de recurso Sub-recurso de destino Quantidade de pontos finais Ligações a conjuntos de anfitriões Microsoft.DesktopVirtualization/hostpools ligação Um por conjunto de anfitriões Transferência do feed Microsoft.DesktopVirtualization/workspaces feed Um por área de trabalho Apenas as ligações de sessão remota para clientes e anfitriões de sessão utilizam rotas privadas, mas a deteção inicial de feeds e transferência de feeds utilizam rotas públicas. Precisa dos seguintes pontos finais privados. Não são necessários pontos finais para áreas de trabalho.
Objetivo Tipo de recurso Sub-recurso de destino Quantidade de pontos finais Ligações a conjuntos de anfitriões Microsoft.DesktopVirtualization/hostpools ligação Um por conjunto de anfitriões Tanto os clientes como as VMs do anfitrião de sessão utilizam rotas públicas. Link Privado não é utilizado neste cenário.
Importante
Se criar um ponto final privado para a deteção inicial do feed, a área de trabalho utilizada para o sub-recurso global rege o Nome de Domínio Completamente Qualificado (FQDN) partilhado, facilitando a deteção inicial de feeds em todas as áreas de trabalho. Deve criar uma área de trabalho separada que só é utilizada para esta finalidade e não tem nenhum grupo de aplicações registados na mesma. A eliminação desta área de trabalho fará com que todos os processos de deteção de feeds deixem de funcionar.
Não pode controlar o acesso à área de trabalho utilizada para a deteção inicial do feed (sub-recurso global). Se configurar esta área de trabalho para permitir apenas acesso privado, a definição é ignorada. Esta área de trabalho está sempre acessível a partir de rotas públicas.
As alocações de endereços IP estão sujeitas a alterações à medida que a procura de endereços IP aumenta. Durante as expansões de capacidade, são necessários endereços adicionais para pontos finais privados. É importante considerar o potencial esgotamento do espaço de endereços e garantir espaço suficiente para o crescimento. Para obter mais informações sobre como determinar a configuração de rede adequada para pontos finais privados numa topologia hub ou spoke, veja Árvore de decisões para Link Privado implementação.
UDP com Link Privado (Optar ativamente por participar)
Azure Virtual Desktop suporta tráfego UDP com Link Privado apenas quando opta ativamente por participar na página Rede do conjunto de anfitriões portal do Azure. Se não optar ativamente por participar, o tráfego UDP Link Privado é bloqueado.
Como optar ativamente por participar (portal):
No portal do Azure, abra o conjunto de anfitriões do Azure Virtual Desktop.
Selecione Rede –> Acesso público.
Em Acesso público, selecione o botão de opção Ativar o acesso público para os utilizadores finais, utilize o acesso privado para anfitriões de sessõesouDesativar o acesso público e utilize o acesso privado. A caixa de verificação UDP opt-in é apresentada para estas seleções.
Selecione Permitir caminho de rede UDP Direto através de Link Privado para ativar transportes baseados em UDP (por exemplo, RDP Shortpath para redes geridas).
** Requisito de configuração importante Depois de ativar a caixa de verificação optar ativamente por participar no UDP, desative o RDP Shortpath para as opções de redes oublicas no separador RDP Shortpath :
Desative o RDP Shortpath para redes públicas (via STUN) e RDP Shortpath para redes públicas (via TURN).
O portal bloqueia Guardar se essas opções públicas do Shortpath permanecerem ativadas e mostrar um Erro de Configuração até as desativar.
Importante
Comportamento atual: O RDP Shortpath está ativado por predefinição, mesmo que a caixa de verificação Permitir caminho de rede UDP Direto com Ligação privada não esteja selecionada.
Alteração futura: A partir de 1 de fevereiro de 2026, isto mudará:
- A caixa de verificação UDP opt-in tornar-se-á obrigatória para ativar o RDP Shortpath com a Ligação privada.
- Se a caixa de verificação não estiver selecionada, o RDP Shortpath será bloqueado para Link Privado ligações.
Para evitar interrupções, reveja as suas definições e ative a caixa de verificação optar ativamente por participar no UDP antes desta data.
Resultados de configuração
Pode configurar as definições nas áreas de trabalho do Azure Virtual Desktop relevantes e nos conjuntos de anfitriões para definir o acesso público ou privado. Para ligações a uma área de trabalho, exceto a área de trabalho utilizada para a deteção inicial de feeds (sub-recurso global), a tabela seguinte detalha o resultado de cada cenário:
| Configuração | Resultado |
|---|---|
| Acesso público ativado a partir de todas as redes | Os pedidos de feed da área de trabalho são permitidos a partir de rotas públicas . Os pedidos de feed de área de trabalho são permitidos a partir de rotas privadas . |
| Acesso público desativado a partir de todas as redes | Os pedidos de feed da área de trabalho são negados das rotas públicas . Os pedidos de feed de área de trabalho são permitidos a partir de rotas privadas . |
Com o transporte de ligação inversa, existem duas ligações de rede para ligações a conjuntos de anfitriões: o cliente do gateway e o anfitrião da sessão para o gateway. Além de ativar ou desativar o acesso público para ambas as ligações, também pode optar por ativar o acesso público para clientes que se ligam ao gateway e permitir apenas o acesso privado para anfitriões de sessão que se ligam ao gateway. A tabela seguinte detalha o resultado de cada cenário:
| Configuração | Resultado |
|---|---|
| Acesso público ativado a partir de todas as redes | As sessões remotas são permitidas quando o cliente ou o anfitrião da sessão está a utilizar uma rota pública . As sessões remotas são permitidas quando o cliente ou o anfitrião da sessão está a utilizar uma rota privada . |
| Acesso público desativado a partir de todas as redes | As sessões remotas são negadas quando o cliente ou o anfitrião da sessão está a utilizar uma rota pública . As sessões remotas são permitidas quando o cliente e o anfitrião da sessão estão a utilizar uma rota privada . |
| Acesso público ativado para redes cliente, mas desativado para redes de anfitrião de sessão | As sessões remotas são negadas se o anfitrião da sessão estiver a utilizar uma rota pública , independentemente da rota que o cliente está a utilizar. As sessões remotas são permitidas desde que o anfitrião da sessão esteja a utilizar uma rota privada , independentemente da rota que o cliente está a utilizar. |
Sequência de ligação de cliente
Quando um utilizador se liga ao Azure Virtual Desktop através de Link Privado e Azure Virtual Desktop está configurado para permitir apenas ligações de cliente a partir de rotas privadas, a sequência de ligação é a seguinte:
Com um cliente suportado, um utilizador subscreve uma área de trabalho. O dispositivo do utilizador consulta o DNS do endereço
rdweb.wvd.microsoft.com(ou o endereço correspondente para outros ambientes de Azure).A zona DNS privada para privatelink-global.wvd.microsoft.com devolve o endereço IP privado para a deteção inicial do feed (sub-recurso global). Se não estiver a utilizar um ponto final privado para a deteção inicial do feed, é devolvido um endereço IP público.
Para cada área de trabalho no feed, é feita uma consulta DNS para o endereço
<workspaceId>.privatelink.wvd.microsoft.com.A zona DNS privada para privatelink.wvd.microsoft.com devolve o endereço IP privado para a transferência do feed da área de trabalho e transfere o feed com a porta TCP 443.
Ao ligar a uma sessão remota, o
.rdpficheiro proveniente da transferência do feed de área de trabalho contém o endereço do serviço de gateway do Azure Virtual Desktop com a menor latência para o dispositivo do utilizador. É feita uma consulta DNS a um endereço no formato<hostpooId>.afdfp-rdgateway.wvd.microsoft.com.A zona DNS privada para privatelink.wvd.microsoft.com devolve o endereço IP privado do serviço de gateway do Azure Virtual Desktop a utilizar para o conjunto de anfitriões que fornece a sessão remota. A orquestração através da rede virtual e do ponto final privado utiliza a porta TCP 443.
Após a orquestração, o tráfego de rede entre o cliente, Azure serviço de gateway do Virtual Desktop e o anfitrião de sessão é transferido para uma porta no intervalo de portas dinâmicas TCP de 1 a 65535.
Importante
Se pretender restringir as portas de rede dos dispositivos cliente do utilizador ou das VMs do anfitrião da sessão para os pontos finais privados, terá de permitir o tráfego em todo o intervalo de portas dinâmicas TCP de 1 a 65535 para o ponto final privado do recurso do conjunto de anfitriões com o sub-recurso de ligação . Todo o intervalo de portas dinâmicas TCP é necessário porque Azure rede privada mapeia internamente estas portas para o gateway adequado que foi selecionado durante a orquestração do cliente. Se restringir as portas ao ponto final privado, os seus utilizadores poderão não conseguir ligar-se ao Azure Virtual Desktop.
Limitações e problemas conhecidos
Link Privado com o Azure Virtual Desktop tem as seguintes limitações:
Antes de utilizar o Link Privado para Azure Virtual Desktop, tem de ativar Link Privado com o Azure Virtual Desktop em cada subscrição Azure que pretende Link Privado com o Azure Virtual Desktop.
Todos os clientes de Ambiente de Trabalho Remoto para ligar ao Azure Virtual Desktop podem ser utilizados com Link Privado. Se estiver a utilizar o cliente de Ambiente de Trabalho Remoto para Windows numa rede privada sem acesso à Internet e estiver subscrito a feeds públicos e privados, não poderá aceder ao seu feed.
Depois de alterar um ponto final privado para um conjunto de anfitriões, tem de reiniciar o serviço Carregador de Agente de Ambiente de Trabalho Remoto (RDAgentBootLoader) em cada anfitrião de sessão no conjunto de anfitriões. Também tem de reiniciar este serviço sempre que alterar a configuração de rede de um conjunto de anfitriões. Em vez de reiniciar o serviço, pode reiniciar cada anfitrião de sessão.
A utilização do Link Privado e do RDP Shortpath para redes geridas está atualmente em PRÉ-VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure para obter os termos legais aplicáveis às funcionalidades Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral. Todas as outras opções do RDP Shortpath que utilizam STUN ou TURN não são suportadas com Link Privado.
No início da pré-visualização do Link Privado com o Azure Virtual Desktop, o ponto final privado da deteção inicial do feed (para o sub-recurso global) partilhou o nome da zona DNS privado de
privatelink.wvd.microsoft.comcom outros pontos finais privados para áreas de trabalho e conjuntos de anfitriões. Nesta configuração, os utilizadores não conseguem estabelecer pontos finais privados exclusivamente para conjuntos de anfitriões e áreas de trabalho. A partir de 1 de setembro de 2023, a partilha da zona DNS privada nesta configuração deixará de ser suportada. Tem de criar um novo ponto final privado para o sub-recurso global utilizar o nome da zona DNS privado deprivatelink-global.wvd.microsoft.com. Para obter os passos para o fazer, veja Deteção inicial do feed.
Próximas etapas
- Saiba como Configurar Link Privado com o Azure Virtual Desktop.
- Saiba como configurar Azure DNS de Ponto Final Privado no Link Privado integração de DNS.
- Para obter guias gerais de resolução de problemas para Link Privado, veja Resolver problemas de conectividade do Ponto Final Privado Azure.
- Compreender Azure conectividade de rede do Virtual Desktop.
- Veja a lista URL Obrigatório para obter a lista de URLs que precisa de desbloquear para garantir o acesso de rede ao serviço Azure Virtual Desktop.